Մշակողը գտել է տվյալները ստուգման «ստուգումները» ստուգելուց հետո, մարտ ամսից այն կարելի է հետապնդել ինտերնետային ծառայություններում կատարված բոլոր գնումների մեջ:
Դաշնային հարկային ծառայության (FTS) որոշ ծառայությունների աղբյուրի կոդը եղել է հանրային հասանելիության մեջ, եւ գնումների օգտագործողների տվյալները `արտահոսքի հնարավոր սպառնալիքով: Այս եզրակացությունը եկավ «Հաբրա» Անտոն Պիսկունովին:
Մշակողը ուշադրություն է հրավիրել «Ստուգումների» դիմումի վրա: Այն թույլ է տալիս ստանալ եւ պահել կանխիկ ստուգումներ էլեկտրոնային ձեւով, ստուգեք վաճառողի բարեխղճությունը, բողոքներ ուղարկեք դրան եւ այլն, հաղորդվում է FTS- ին:
Օգտագործելով դիմումը, օգտագործողը կարող է սկանավորել QR ծածկագիրը էլեկտրոնային չեկի վրա, որն ուղարկում է հարկաբյուջետային տվյալների հայտարարությունը (OFD) ցանկացած ծառայության կամ խանութում պատվերը կատարելուց հետո: Օրինակ, Yandex- ում պատվիրելուց հետո Պիսկունովը եկավ ստուգումը Yandex OIS- ից:
Սկանացումից հետո հավելվածում հայտնվում է պատվերով ամբողջական տվյալներով ստուգման էլեկտրոնային օրինակը: 2021-ի մարտի 4-ին մշակողները թարմացրին «Ստուգեք ստուգումները» `ավելացնելով« ստուգումների ցուցադրում »իմ ստուգումներից»:
Եթե ստուգման «Ստուգեք չեկի» դիմումը, նշելով «Yandex.edi», «Տաքսի», «սկուտեր» -ի, «սկուտեր» -ի եւ այլք, նշելով հեռախոսահամարը, նշելով «Yandex.edi» - ի, «սկուտեր» բաժնում, ավտոմատ կերպով կցուցադրվի բոլոր ստուգումները Այս ծառայություններում բոլոր գործողությունների համար:
Պիսկունովը որոշեց ստուգել, թե ինչպես են բոլոր այս տվյալները պաշտպանված: Դա անելու համար նա բաց է թողել ինտերնետի միջեւ եւ պարզ վստահված անձի դիմումի եւ հայտի ցանցային գործունեությունը ձայնագրելը, «pumbled մեջ կոճակների մեջ»:
«Պարզվել է, որ տվյալների վերջնական կետը գտնվում է ickt-mobile.nugher.ru .888 հասցեում, որն ապրում է Nodejs- ի ամենապարզ ծրագիրը` օգտագործելով հստակ շրջանակը: Օգտագործողի վավերացման մեխանիզմը թույլ է տալիս տվյալների, եթե ճիշտ եք նշում «SessionID» վերնագիրը, որի արժեքը սերվերի կողմից առաջացած որոշ ինքնաբացարկ է », - ավելացնում է Պիսկունովը:
Եթե «Ելք» կոճակը սեղմեք «Ստուգումների» դիմումում, նշանի հաշմանդամությունը տեղի չի ունենում, այն շարունակվում է: Բացի այդ, օգտագործողը չի կարող տեսնել իր բոլոր նստաշրջանները կամ լրացնել դրանք բոլոր սարքերի վրա: «Այսպիսով, նույնիսկ եթե ինչ-որ կերպ հասկացաք, որ մուտքի նշանը վարկաբեկված է, ապա հնարավորություն չկա այն վերականգնել եւ դրանով իսկ երաշխիքով երաշխավորել ձեր տվյալները:
Նա նաեւ նկատեց, որ Դիմումի Crash- ի դեպքում այն ուղարկում է ախտորոշիչ տվյալները, որոնք գտնվում են Ռուսաստանի կողմից առնչվող, ոչ էլ FTS- ից, ոչ էլ FTS GNIIVC FTS- ի հետ կապված հասցեում (մշակող «Ստուգում է ստուգում» .Ru), եւ ուղարկող տիրույթում .StuiotioTg.ru:
Դրանից հետո նա հղումներ գտավ Գիտլաբի «Գիտլաբի» հանրային պահոցներին, որոնք տեղակայված են Google Index- ում, ըստ մշակողների, ավելի քան մեկ տարի: Պահեստներում նա գտավ թղթապանակներ, որոնք պարունակում են ճշգրտումներ «Lkio», «LKIP», «Lkul»: Նրանք պատկանում են FTS- ի նույն անունով ծառայությանը, տիրույթում nalog.ru - lkio.nalog.ru, lkip.nalog.ru եւ lkul.nalog.ru.
«Հաշտեցման համար, որ հայտնաբերված աղբյուրները վերաբերում են FTS ծառայություններից, uppod-styles.txt ֆայլի ներկայության պարզ ստուգում, ճակատամարտում վեբ սերվերում, որը տեղի է ունեցել պատահական զուգադիպություն», - գրում է Պիսկունովը:
Նա եզրակացրեց, որ ստուգման «ստուգիչ» - ստուդիաթը: «Studio TG» կայքը, որը զբաղվում է ՏՏ խորհրդատվական եւ ծրագրային ապահովման զարգացումով, նախագծերի շարքում «Հարկ վճարողի անձնական հաշիվն է FTS- ից»:
Պիսկունովը նաեւ կարծում է, որ ընկերության մեղքը, հարկային ծառայության ծածկագրի աղբյուրի կոդը հանրային հասանելիության մեջ է: VC.ru- ի խմբագրությունը հարցում է ուղարկել եւ ակնկալում է մեկնաբանություններ FTS- ից եւ Studio TG- ից:
# Նորություններ # FTS
Աղբյուր